2009년 4월 중순경부터 확인되기 시작한 각종 사회적 이슈 동영상으로 위장한 국내 광고 설치를 유도하는 방식의 애드웨어에 관해 이야기를 하면서 그 중심에 Tpack21 서버와 관련된 부분을 마지막으로 5월경까지 배포되는 것을 확인하였습니다.

그 후로도 국내 보안업체 업데이트 목록에서는 가끔씩 해당 악성코드에 대한 추가적인 변종을 포함하는 것을 보며 여전히 배포가 이루어지고 있음을 알고 있었는데 최근 네이버(Naver) 블로그를 통해 방대한 글을 이용하여 배포를 하는 것을 확인하여 해당 악성코드에 대한 조금 더 자세한 분석을 시도해 보았습니다.

이미 이전에 언급한 내용과 중복되는 부분이 존재하므로 이해해 주시기 바랍니다.

네이버 블로그가 최근 외부 서비스와 연결을 허용하면서 그림과 같이 블로그의 좌측 메뉴에는 각종 배너를 설치하여 최근 인기있는 각종 방송 관련 다시보기 문구를 통해 접속자에게 해당 배너를 클릭할 경우 티스토리(Tistory) 블로그에 업로드된 특정 실행 파일을 다운로드하도록 유도하고 있습니다.

특히 본문의 네이버 동영상 화면을 클릭하면 동일하게 티스토리의 파일을 다운로드를 시도하면서 마치 네이버에서 제공하는 비디오 코덱인 것처럼 위장을 하고 있습니다.

실제 블로그에서 다운로드를 유도하는 파일들의 이름은 실시간 TV보기, 무료 음악, 성인 방송 등 자극적인 문구를 통해 누구나 실행하고 싶은 호기심을 유도하고 있습니다.

해당 분석글에서는 네이버 비디오 코덱으로 위장한 파일을 통해 어떤 동작과 유포자가 오랫동안 이런 방식으로 유포하는 이유를 조금 더 자세히 알아보도록 하겠습니다.

네이버 비디오 코덱 파일을 실행하면 [어학기능 통합코덱 모나리오]라는 프로그램 명칭으로 설치를 한다고 밝히고 있습니다.

다음 단계에서 이용약관을 제시하며 해당 모나리오 프로그램이 아닌 추가적으로 설치되는 광고 프로그램 [키워드 도우미 mschart]에 대한 내용을 제시하고 있습니다. 그 내용의 맨 하단에서는 또 다른 광고 프로그램 3개가 추가적으로 설치됨을 표시하고 있는 것을 확인할 수 있습니다.

다음 설치 단계에서는 모나리오 프로그램의 설치 폴더 정보만 제공하고 있으며 해당 프로그램의 설치가 진행되는 것처럼 사용자를 속이고 있습니다.

실제 설치를 진행하게 되면 일정 시간 컴퓨터에 특정 파일을 설치한 후, 그림과 같이 초기에 제시한 모나리오 제품의 설치 단계가 나옵니다. 만약 사용자가 모나리오 제품의 설치 단계에서 취소를 할 경우 화면 상에서는 모나리오 프로그램을 설치한 것처럼 표시하고 있습니다.

정상적인 프로그램의 설치 단계라면, 광고 프로그램이 설치되는 경우에는 처음 설치를 시작할 때에는 반드시 본 제품을 설치하면서 광고가 설치되는 것이 일반적인 방식인데, 이 프로그램은 초기 설치는 광고를 먼저 설치하고 본 프로그램은 사용자가 설치를 하지 않을 수 있는 주객이 전도된 형태로 유포하고 있으며, 사용자의 동의 과정을 거친 것으로 눈에는 보이지만 실제 정상적인 설치가 아닙니다.

처음 설치가 이루어지는 단계에서 본 프로그램인 모나리오 프로그램의 설치 전에 이미 컴퓨터에는 install.exe 파일과 기타 부속 파일이 윈도우 및 시스템 폴더 상에 설치가 됩니다.

그리고 사용자가 그 후에 제시되는 모나리오 프로그램에 대한 설치를 하든 하지 않든 상관없이 일정 시간이 지나면 install.exe 파일은 서버에 접속을 하여 setup.exe 파일을 불러와 해당 파일이 각종 광고를 설치하기 시작합니다.

실제 설치된 폴더와 파일 정보를 보시면 좌측에 위치한 초기 설치 파일은 광고 프로그램이 설치되면서 일부 파일은 자동으로 삭제가 되는 것을 확인할 수 있습니다.

이번 경우에서는 광고 프로그램(IHBar(InHold), insideword)이 총 2개가 설치되었는데, 초기 이용약관에서 밝힌 광고 3개 중 IHBar만 실제적으로 사용자가 허용한 것이고 나머지는 설치가 되지 않았거나 다른 광고가 설치 되었습니다.

이전 분석 당시에서는 Batty가 설치된 적도 있었지만 주기적으로 광고는 교체가 되는 것으로 추정됩니다.

[설치 파일 진단 정보]

C:\InHold_Install41.exe (nProtect : Trojan/W32.Agent.211968.K)
C:\Program Files\IHBar\InHold.exe (nProtect : Trojan/W32.Agent.435200.G)
C:\Program Files\IHBar\InHold_Uninstall.exe (nProtect : Trojan/W32.Agent.324096.K)
C:\Program Files\insideword\insideword.exe (nProtect : Adware/InsideWord.A)
C:\Program Files\insideword\uninstall.exe (nProtect : Adware/InsideWord.A)
C:\WINDOWS\winmpbase.exe (nProtect : Downloader/W32.InsideWord.N1.A)

프로세스 정보

해당 광고 프로그램이 설치가 되면 그림과 같이 3개의 프로세스가 동작하면서 특정 포트(Port)를 연결하여 추가적인 광고 또는 업데이트된 정보를 받을 수 있습니다.

[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - insideword = C:\Program Files\insideword\insideword.exe
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run
 - IHBar = C:\Program Files\IHBar\InHold.exe

특히 이들 광고 프로그램은 BHO 방식이 아닌 윈도우 시작시 프로세스의 자동 실행 방식으로 컴퓨터의 불필요한 자원 낭비를 유발하며 다음과 같은 악의적인 동작을 취하고 있습니다.

1. winmpbase.exe 파일 분석

해당 파일은 윈도우 시작시 insideword.exe 프로세스의 부모로 Tpack21 서버와 연결을 하여 업데이트를 담당하고 있습니다.

해당 파일의 문자열을 살펴보면 초기 서버에서 다운로드된 후 윈도우 폴더 내에 파일 생성 및 프로그램 폴더에 insideword 관련 광고를 설치하고 있습니다. 추가적으로도 테스트에서는 설치되지 않은 fastside, softside 등의 광고를 추가적으로 설치할 수 있는 다운로더(Downloader)입니다.

이로 인하여 사용자가 인지하지 못하는 과정에서 자신도 모르게 다른 광고 프로그램의 설치로 인하여 컴퓨터 사용을 방해할 수 있습니다.

2. insideword - kosmartword.dll 파일 분석

insideword 프로그램이 어떤 동작을 하는지 확인을 해보면 해당 프로그램의 kosmartword.dll 파일 내부를 살펴보면 위와 같이 특정 서비스를 사용자가 이용할 경우 등록된 아이디(배포자)로 금전적 혜택이 가는 것을 확인할 수 있습니다.

해당 파일에 연결된 사이트는 온라인 제휴 마케팅, 자격증 정보 사이트, 파일 공유 사이트, 꽃배달 사이트 등으로 구성되어 있으며 이들 사이트를 광고가 설치된 컴퓨터로 이용할 경우 자신도 모르게 특정인이 이득을 볼 수 있는 것으로 보입니다.

3. IHBar - InHold.exe 파일 분석

IHBar 프로그램의 InHold.exe 파일 구조는 국내 유명 사이트의 도메인과 검색 문자열을 포함하고 있으며, 해당 사이트에 접속하여 사용자가 검색을 할 경우 스폰서 링크가 포함될 수 있습니다.

그런 링크를 클릭하여 이용시 역시 등록된 특정 아이디가 금전적 이득으로 연결될 수 있으므로 사용자는 실제 이런 광고 프로그램 업체와 다른 계약을 맺지 않은 상태에서 컴퓨터에 설치만으로도 타인의 돈벌이에 악용되는 것이라고 볼 수 있습니다.

워낙 동영상을 즐겨보는 인터넷 문화 속에서 국내 뿐만 아니라 해외에서도 많이 악용되는 방식이므로 반드시 사용자는 특정 서비스를 이용할 경우 정상적인 경로인지 여부, 이용약관을 살피는 습관 등 기본적인 부분에 충실해야지 피해를 보지 않을 수 있습니다.

해당 광고 프로그램들은 제어판에서 삭제 기능까지 제공하는 경우가 많기에 일반적으로 그냥 삭제하면 그만으로 넘길 수 있지만 이런 숨은 내용이 있다는 것과 함께 되도록이면 보안제품을 통해 깨끗하게 치료를 하는 것이 좋으며, 보안제품의 실시간 감시를 반드시 활성화한 상태에서 프로그램을 설치하는 습관을 가지시기 바랍니다.


블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..